1. 简介
1.1.隐私声明
GEP 致力于维护通过 GEP 的公共网站、非公共网站和任何 GEP 软件平台(包括网络应用程序和移动应用程序,下称“GEP 的应用程序和服务”)收集的隐私和个人信息。所有隐私信息均根据本隐私声明中规定的条款受到 GEP 的保护。本隐私声明解释了我们会从您那里收集哪些个人信息、GEP 如何使用这些信息以及向谁传递或提供这些信息。[如果本隐私声明的非英语版本中出现任何冲突或重大翻译偏差,应以本隐私声明的英语版本为准。]
2. 范围和目的
本隐私声明适用于所有信息,包括应用程序的注册用户(下称“用户”)和网站访客用户在使用 GEP 的应用程序和服务(包括发送至以及来自特定应用程序和服务的电子邮件通知)时向 GEP 提供的业务信息和个人信息;以及/或者通过 GEP 的网站提供的信息和 GEP 的客户提供给 GEP 人员用于输入 GEP 应用程序和服务的信息。
GEP 收集信息(包括任何个人信息)的目的是为您提供有关采办和采购的行业信息,并为 GEP 客户及其供应商提供安全、高效和定制化的产品与服务电子采购场所。 应用程序可能还会让 GEP 客户为业务和个人信息的收集创建一些自定义字段或文档。
收集个人信息(如个人姓名和电子邮件地址)的目的是在您已同意接收此类信息的前提下,向您提供诸如白皮书和行业特定数据等信息。
由您提供的个人信息还可能被其他 GEP 客户及 GEP 客户的供应商用于提供 GEP 应用程序和服务的某些功能,以及用于提供采购服务。 GEP 客户可提交个人信息以创建解决方案的注册用户、存储交易文档以及存储与其他实体关联的联系信息。
任何业务信息和个人信息均存储在位于美国和欧洲的 Microsoft® Azure® 数据中心中,即 GEP 技术平台解决方案的托管地点。 这个链接至 Microsoft® 网站的网页介绍了规制 Azure® 和 Microsoft® 其他企业在线服务之使用的隐私政策和实践。
https://privacy.microsoft.com/en-ca/privacystatement
此外,GEP 可能会将您的业务信息和个人信息用于其内部业务运作,例如保护和更新应用程序。 如果您身处欧盟地区,GEP 会在符合 GEP 或第三方合法利益的前提下处理此类个人信息。
我们可能会收集、使用和披露来源于您对应用程序的使用的定性和定量数据,用于分析(包括但不限于行业分析)、解析和其他业务目的。我们仅将此类定性和定量数据及信息用作 GEP 可全权酌情决定在网站或任何其他媒介上发布的汇总匿名交易信息的一部分。所有收集、使用和披露的数据都将采用汇总形式,不会将您作为个人用户识别出来。 我们可能会汇总并发布与 GEP 的非公共网站和软件平台(包括移动应用程序)内的活动相关的用户业务信息,但此类汇总用户业务信息不得包含任何可用于识别您个人身份的用户业务信息。 GEP 这样做的目的是向您提供订阅、研究和分析,以优化网站和 GEP 的应用程序和服务,包括由其提供的软件平台,如 GEP SMARTTM(又称“SMART by GEP®”)和 GEP NEXXETM 等,同时更好地服务于 GEP 客户和用户。
您的组织提供的访问权限 - 面向最终用户的通知
对于用户而言,个人信息通常与您在各自组织中的角色相关,而与您作为个人或作为个人客户或供应商无关。
对于 GEP 客户用户
当您访问或使用应用程序和服务时,GEP 对于您与该应用程序和服务相关的个人信息的处理受 GEP 与贵公司之间的合同约束。 如果您身处欧盟地区或英国,那么根据欧盟《数据保护通用条例》或英国 2018 年《数据保护法案》中的定义,贵公司是“控制者”,而 GEP 是代表贵公司行事的“处理者”。GEP 处理您的个人信息,目的是为贵组织和您提供应用程序和服务(包括改进、保护和更新服务),以便 GEP 进行与提供应用程序和服务相关的业务运作。如果您对 GEP 在向贵公司提供服务时对您个人信息的处理有任何疑问,请与贵公司联系。
对于已注册供应商用户
GEP 对涉及特定应用程序的您的个人信息的处理受到本隐私声明的约束。GEP 处理您的个人信息,目的是为贵公司和您提供应用程序和服务(包括改进、保护和更新服务),以及便于 GEP 进行与提供应用程序和服务相关的正当业务运营。应用程序和服务的某些功能可能会使 GEP 的客户能够使用或创建自定义字段或文档来收集有关供应商的各类信息。如果您反对 GEP 客户所请求的其他业务或个人信息的类型,请直接联系 GEP 客户。
由于 GEP 了解保护其网站访客、GEP 客户和 GEP 客户供应商的隐私以及维护业务信息和个人信息安全的重要性,GEP 承诺不会向任何第三方(包括广告商、企业或政府组织、或者其他客户或成员)披露、分发、发布、传播、出售、交易或共享任何个人信息。
但在下列情况下,GEP 有权向第三方披露业务信息和/或个人信息:
- 当此类披露是便利与用户的通信或用户之间按照正常操作或服务进行的交易,以及用户与 GEP 客户之间的交易所必需的时;
- 当任何法院、行政机构,政府机构或监管机构下令进行此类披露时,或当 GEP 出于诚信善意原则确定法律要求进行此类披露时,又或当执法机构就其调查或在紧急情况下要求进行此类披露时;
- 在执行协议(包括本隐私声明)条款时;
- 在与 GEP 网站的访客用户、GEP 客户或 GEP 的非公共网站和软件平台(包括移动应用程序)之外的用户进行通信时;
- 当 GEP 出于诚信善意原则确定此类披露是纠正 GEP 认定的虚假或误导性信息或处理 GEP 认为具有操纵性或欺骗性的活动所必需的时;
- 当您将您的个人信息设置为在任何应用程序和服务中公开可见时。
- GEP 可能会汇总并发布与 GEP 的非公共网站和软件平台(包括移动应用程序)内的活动相关的用户业务信息,但此类汇总用户业务信息不得包含任何可用于识别您个人身份的用户业务信息;并且
- GEP 可能会与我们的全球附属公司、母公司、子公司、代理商和集成服务提供商共享个人信息,合作向网站访客提供内容,并/或向 GEP 客户提供 GEP 的技术解决方案(包括 GEP 应用程序和服务)。GEP 附属公司按照本隐私声明中所述的做法,并在适用法律允许的范围内遵循具有同等保护作用的做法。
跟踪和其他类似技术
根据您是访问 GEP 网站、是 GEP 客户还是访问非公共网站和/或任何软件平台(包括应用程序和服务、网络应用程序和/或移动应用程序)的供应商用户,通过 Cookie、网络信标、网络链接及其他此类工具等技术收集的信息可能会包括您的互联网协议 (IP) 地址(或您用来访问万维网的代理服务器)、设备和应用程序标识号、您的位置、您的浏览器类型、您的互联网服务提供商和/或移动运营商、您查看的页面和文件、您的搜索、您的操作系统和系统配置信息以及与您的使用相关的日期/时间戳。例如,根据互联网通信标准,当您访问或使用 GEP 网站和服务时,GEP 会自动接收您所访问的上一网站的 URL;当您离开我们的网站时,GEP 会自动接收您所访问的下一网站的 URL。您对 GEP 移动应用程序平台的使用可能会涉及类似的技术。此类技术所收集的业务信息用于分析总体趋势,帮助我们改进我们的网站、应用程序和服务、软件平台(包括网络应用程序以及移动应用程序和服务),跟踪和汇总非个人信息,以及提供网站和应用程序服务。通过跟踪工具获取的业务信息可能会仅出于在不影响机密性的前提下增强通过软件提供的软件功能或服务的目的而接受数据分析。有关网站和应用程序及服务(包括网络应用程序和移动应用程序)的跟踪技术,请参见 GEP Cookie 政策中的说明。
3. 隐私原则
GEP 遵守英国和欧盟数据保护法规中关于收集、使用和保留从英国、欧洲经济区和/或瑞士传输至第三国或欧盟以外的国际组织的个人信息的隐私要求。 GEP 遵守与个人信息处理相关的隐私原则:
- 个人信息以就数据主体而言合法、公平和透明的方式进行处理(“合法、公平和透明”)。
- 个人信息的收集是出于特定的、明确而合法的目的,且不得以不符合该等目的的方式进行进一步处理(“目的限制”)。
- 个人信息适当而相关,并仅限于与处理它的目的相关的必要信息(“数据最小化”)。
- 信息准确,并在必要时保持最新;采取一切合理措施,在考虑到其处理目的的情况下,立即删除或纠正不准确的个人信息(“准确”)。
- 信息的保存方式允许在不超过实现处理个人资料的目的所必要的时间内识别数据主体(“存储期限”)。
- 信息的处理方式应确保个人信息的适当安全,包括使用适当的技术或组织措施,防止未经授权或非法的处理以及意外丢失、销毁或损坏(“完整性和机密性”)。
- 当 GEP 收集您的个人信息时,GEP 将向您发出及时而适当的通知,说明 GEP 正在收集哪些个人信息、GEP 将如何使用这些信息,以及 GEP 可能会与哪些类型的第三方共享这些信息。GEP 将授予访问您的个人信息的权限,并提供通信方式以便进行任何更改。
- GEP 将会就 GEP 使用和共享您的个人信息的方式为您提供选择,且 GEP 将尊重您所做的选择。
- 在将个人信息传输给第三方方面,GEP 将遵守欧盟-美国/瑞士-美国隐私盾框架规定的通知和选择准则。 GEP 将与第三方签订合同,以提供与该通知和选择准则同等级别的保护。
- 如果继续传输,则 GEP 负责处理其根据隐私盾收到的个人信息,并随后传输给作为其代理商的第三方。如果 GEP 的代理商以不符合该准则的方式处理此类个人信息,则 GEP 应根据该准则承担责任,除非 GEP 证明其对造成损害的事件不承担责任。
- GEP 将采取合理而适当的措施,防止个人信息丢失、受到误用和未经授权的访问、披露、更改和销毁,同时适当考虑个人信息处理过程中涉及的风险以及个人信息的性质。
- GEP 不会以与个人信息收集或个人随后授权的目的不符的方式处理个人信息。在实现该等目的所必需的范围内,GEP 将采取合理措施,确保个人信息可靠地用于其预期用途,并且准确、完整和最新。
- GEP 将根据法律要求为您提供访问您个人信息的方式,以便您能纠正不准确之处。
- GEP 将提供独立的追索机制,通过该机制,每个个人的投诉和纠纷都将得到调查和迅速解决,而无需个人承担任何费用。
隐私盾
GEP 遵守美国商务部就收集、使用和保留从欧盟和瑞士传输到美国的个人信息所制定的《欧盟-美国隐私盾框架》和《瑞士-美国隐私盾框架》。GEP 已通过美国商务部的认证,证明其遵守了隐私盾准则。如需了解更多关于隐私盾计划的信息,以及查看 GEP 的认证,请访问 https://www.privacyshield.gov/。
2020 年 7 月 16 日,欧洲法院宣布作为欧盟与美国之间一种转移机制的欧盟-美国隐私盾无效。 因此,GEP 打算使用另一个传输机制将个人信息从欧洲经济区和英国传输到位于美国的 GEP 办事处,例如等同于依据欧洲经济区的法律和英国法律所提供保护的充分保障的数据传输协议。 GEP 将继续保护个人信息,并兑现其在 2020 年 7 月 16 日前根据隐私盾将个人信息从欧盟转移到美国的承诺。瑞士-美国隐私盾仍然是一个将个人信息从瑞士转移到美国的适当机制。
4. 个人的权利 - 用户权利
请注意,在 GEP 以控制者的身份行事的情况下,根据《数据保护通用条例》,以下权利适用于个人。 在大多数情况下,GEP 不被视为数据控制者,而是作为数据处理者进行运作。
- 个人有权接收由其以结构化的、常用且机器可读的格式提供给控制者的与其相关的个人信息,并且有权将数据传输给其他控制者,而不受作为个人信息先前提供对象的控制者的阻碍。
- 个人有权基于与其特定情况相关的理由,随时反对处理与其相关的个人信息,包括根据该等条款进行的分析研究。除非控制者有令人信服的合法理由进行凌驾于个人利益、权利和自由之上的处理或进行法律索赔的建立、行使或辩护,否则控制者不得再处理个人信息。
- 对于仅基于自动处理(包括分析研究),并会对个人产生法律效力,或对其产生类似的重大影响的决定,个人有权不受其约束。
- 个人有权向控制者确认是否正在处理与其相关的个人信息,并有权在答复为肯定的情况下获取个人信息及以下信息:
- 处理的目的。
- 相关个人信息的类别。
- 个人信息已披露或将披露给哪些接收者或哪些类别的接收者,特别是第三国或国际组织的接收者。
- 如可能,个人信息预计将会存储多长期限,如前者不可能,则用于确定该期限的标准。
- 有权要求控制者更正或删除个人信息,或限制处理与数据主体相关的个人信息,或者有权反对此类处理。
- 向监管机构提出投诉的权利。
- 若个人信息并非从数据主体收集而来,则有关其来源的任何可用信息。
- 个人有权在相关情况下随时拒绝或撤回同意。
- 个人有权要求控制者更正与其相关的不准确个人信息,控制者不得无故拖延。
- 在某些情况下,个人有权要求控制者删除与其相关的个人信息,控制者不得无故拖延。
- 在数据主体对个人信息的准确性提出质疑,处理属于非法,以及数据主体反对删除个人信息,而要求代之以限制其使用的情况下,个人有权要求控制者限制处理。
- 个人有权向所在司法管辖区的相关监管机构提出投诉。
5. 个人信息的安全
GEP 的内部安全策略管理着通过应用程序和服务以及网站收集的数据的处理。 考虑到目前的技术水平,实施成本,处理的性质、范围、背景和目的,以及自然人权利和自由的可能性和严重性各不相同的风险,GEP 已实施适当的技术和组织措施,以提供与风险相应的安全级别。
- 敏感或特殊类别敏感数据的假名化和加密。
- 提供处理系统和服务的持续机密性、完整性、可用性和复原力的能力。
- 在发生物理或技术事件时及时恢复个人信息的可用性和访问的能力。
- 用于定期测试、评估和评价用途为确保处理安全的技术和组织措施的有效性的流程。
- GEP 已实施技术控制措施,以防止在未经授权的情况下访问、更改、披露或销毁 GEP 所持有的信息。
- GEP 已使用最新的强加密技术对 GEP 的许多服务进行了加密。
- GEP 提供了访问非公开信息的安全身份验证。
- GEP 限制了个人信息的访问权限,将其限于需要了解该信息,以便为 GEP 处理该信息的员工、承包商和代理商,并且这些员工、承包商和代理商必须遵守严格的合同保密义务,如果他们未能履行这些义务,则可能会受到纪律处分或解雇。
6. 合规以及与监管机构的合作
GEP 定期审查我们是否遵守了 GEP 的隐私声明以及适用的数据保护和隐私法。GEP 受联邦贸易委员会(“FTC”)的调查和执行权的约束。当 GEP 收到正式书面投诉时,GEP 将联系投诉人进行跟进。GEP 将与包括当地数据保护机构在内的适当监管机构合作,解决 GEP 无法直接与我们的用户解决的任何有关个人信息传输的投诉。
GEP 联系方式
Attn: privacy@gep.com
100 Walnut Ave
Clark, NJ 07066
https://www.gep.com
办公电话 (732) 382-6565
如需就 GEP 处理您个人信息的方式提出请求或投诉,请通过邮件或电子邮件联系上述联系人。 请注意,如果您直接向 GEP 投诉,而其是您个人信息的处理者,那么 GEP 会立即将您的查询提交给控制者。
GEP 至少需要 10 个工作日才能回复您的请求或投诉。
根据隐私盾准则,详见 https://www.privacyshield.gov/welcome,GEP 承诺解决有关 GEP 收集或使用您的个人信息的投诉。身处欧盟地区和瑞士的个人如对我们的隐私盾政策有任何疑问或投诉,请首先通过以下方式联系 GEP:Privacy@gep.com。
GEP 进一步承诺将未解决的隐私盾投诉提交给 ICDR-AAA,该公司是一家位于美国的替代性纠纷解决提供商。在某些条件下,您可以提起具有约束力的仲裁。如果您的投诉没有及时得到 GEP 的回复,或者如果 GEP 对投诉的处理未能令您满意,请访问 ICDR-AAA 网站 https://go.adr.org/privacyshield.html 了解更多信息或提交投诉。ICDR-AAA 将免费为您提供服务。